La seguridad de un Estado digital, hacia una detección participativa

América|Derechos digitales

Fundación Karisma

15 julio 2024

5 minutos

El presidente colombiano Gustavo Petro escribe en su teléfono celular durante una ceremonia en una escuela militar en Bogotá, el 15 de diciembre de 2023. Raúl ARBOLEDA / AFP vía Getty Images

La Fundación Karisma, desde su laboratorio de seguridad digital del K+LAB, ha estado trabajando desde el año 2016 en el tema de divulgación responsable de vulnerabilidades, incidentes y fugas de datos personales; en particular cuando involucran sistemas del Estado.

Este artículo fue publicado originalmente en web.karisma.org el 16 de marzo de 2023.

Por: Stéphane Labarthe, consultor de la Fundación Karisma

La Fundación Karisma, desde su laboratorio de seguridad digital del K+LAB,  ha estado trabajando desde el año 2016 en el tema de divulgación responsable de vulnerabilidades, incidentes y fugas de datos personales; en particular cuando involucran sistemas del Estado que manejan datos de la ciudadanía. El objetivo siempre ha sido que se mejoren los derechos de todas las personas usuarias además de que se implementen mejores prácticas para la protección de los datos y para que estos reportes puedan ser efectivos, es necesario facilitar los mecanismos para reportar ante el Estado, por lo cual hemos trabajado siguiendo dos ejes:

  • Investigación: Realizando análisis de sitios web, aplicaciones y sistemas del Estado y generando reportes privados de vulnerabilidades y recomendaciones.
  • Trabajo de incidencia: a través de reuniones con el gobierno, participación en conferencias y publicación de textos e informes.

En este largo camino, del lado de la incidencia, hemos publicado el informe «Rutas de divulgación en seguridad digital» en el año 2019 y nuestras prácticas fueron reconocidas en el informe de la OECD «Encouraging vulnerability treatment, responsible management, handling and disclosure of vulnerabilities», que fue publicado en el 2021. Estas publicaciones no han sido sólo teóricas sino que se alimentan de nuestras propias experiencias, de las dificultades que han surgido de ellas (la incomprensión del alcance de nuestros ejercicios o las  amenazas de demandas), y de las metodologías que se han ido construyendo: tanto para el análisis técnico cómo para la manera de reportar los hallazgos al Gobierno.

El nuevo texto que se publica aquí extiende este trabajo y se titula «La seguridad de un Estado digital, hacia una detección participativa». Es la traducción en español, con algunos pequeños añadidos, de un artículo escrito originalmente en francés en el 2021 y publicado en octubre de 2022 con título «Sécurité d’un État digital, vers une détection participative» en la compilación «L’État digital» que incluye otras contribuciones  Este trabajo se hizo a raíz del coloquio del mismo nombre, co-organizado por la Universidades de París Panthéon-Assas y la Fundação Getulio Vargas (FGV) de Rio de Janeiro.

El artículo sostiene que «la capacidad de detección de los riesgos digitales tiene que apoyarse en toda la sociedad, incluyendo las universidades, la sociedad civil, los usuarios, los expertos técnicos e incluso lo que los medios de comunicación llaman de manera confusa los hackers». Resalta la importancia de la detección en seguridad digital, clasifica los tipos de eventos que se pueden detectar y analiza los riesgos legales actuales para un investigador en seguridad digital que desempeña este papel fundamental de detector, en función de la metodología técnica de análisis que él usa. En su última parte contempla las evoluciones recientes tanto legales como en cuanto la actitud de los Estados frente a estos temas, con un enfoque especial hacia Colombia, Estados Unidos y Europa y muestra todo lo que falta para poder llegar a una detección participativa eficiente y responsable.

Finalmente se concluye con algunas recomendaciones, tanto para los Estados cómo para los investigadores en seguridad digital:

RECOMENDACIONES PARA LOS ESTADOS:

  • Mejorar y completar los canales de notificación estatales existentes, ya sea que los canales estén asociados a los CERT, a las autoridades de protección de datos o a cualquier entidad receptora de notificaciones, estos deben mejorarse y completarse. Todos los eventos de seguridad deben poder ser reportados y deben ser atendidos: vulnerabilidades genéricas y específicas (fallas de seguridad), incidentes y violaciones de datos que sean informaciones personales o de otro tipo. Es importante que estos canales tengan políticas de divulgación coordinada claras y completas (ver parte C, 2, b del artículo).
  • Crear un marco organizacional de confianza con los organismos estatales receptores de notificaciones. En particular es fundamental que los CERT nacionales y otras entidades con este papel puedan tener una independencia real respecto al Ministerio de Defensa y los organismos de inteligencia. Por otra parte, una relación de confianza tiene que construirse con los investigadores.
  • Minimizar los riesgos legales para los investigadores. Esto puede hacerse por medio de evoluciones legislativas, dándoles garantías con respecto a ciertas condiciones (como en Francia), la creación de excepciones a las infracciones posibles y/o una sensibilización de los fiscales para limitar los procedimientos legales en el caso de «hacking ético» (como en Holanda).
  • Desarrollar acciones de comunicación destinadas a los descubridores potenciales. Se trata de investigadores universitarios, de la sociedad civil, de expertos independientes, de hackers, de usuarios de los sistemas, etc. La creación de guías y documentos de sensibilización relativos a este tema, así como la organización de programas de recompensas (bug bounty) son buenos ejemplos de lo que se puede hacer.

RECOMENDACIONES PARA LOS INVESTIGADORES:

  • Elegir una metodología de análisis cuyos riesgos sean aceptables en función del contexto de la investigación / del análisis. La parte B de este artículo puede ser útil.
  • Apoyarse, si se puede, en un organismo intermediario de confianza que ofrece garantías adicionales y ofrece una protección al investigador. Puede tratarse por ejemplo de una organización de la sociedad civil, de una Universidad, de un organismo estatal que ofrezca todas las garantías de confianza o de una empresa organizadora de programas bug bounty.
  • Más allá de los aspectos jurídicos, realizar los análisis de manera ética y transparente, en particular cuando impliquen completar formularios con datos personales (ver B, 2).

Accede al articulo completo

Artículos recientes en América

Ver todos los artículos

Venezuela: nuevo informe de RSF y organizaciones aliadas denuncia el miedo, la intimidación y la autocensura que rodean las elecciones presidenciales

Venezuela | Acceso a la información

Reporteros sin Fronteras (RSF) y siete organizaciones asociadas (entre ellas IFEX-ALC) han unido fuerzas para exponer los terribles obstáculos que enfrenta actualmente la prensa venezolana. El informe constata más de 228 violaciones a la libertad de prensa, y señala que al menos ocho periodistas siguen encarcelados arbitrariamente.

19 noviembre 2024
Declaraciones conjuntas

Reporte: «Represión y censura postelectoral en Venezuela»

Venezuela | Acceso a la información

En este informe Espacio Público recoge testimonios que son una muestra de un ecosistema informativo mucho más limitado y amenazado, que intenta adaptarse y, sobre todo, mantenerse en pie ante la creciente represión.

13 noviembre 2024

Análisis trimestral sobre el estado de la libertad de expresión en Centroamérica y el Caribe: julio – septiembre 2024

América | Acceso a la información

El estado de la libertad de expresión y prensa en Centroamérica y Caribe durante este tercer trimestre continúa con signos de debilitamiento.

13 noviembre 2024